安全提醒:火绒完整版+数据恢复软件应对2021年1月13日incaseformat蠕虫病毒

这两天朋友圈一直在传播incaseformat蠕虫病毒,其实这病毒就是很久以前的蠕虫病毒,搞的大家都人心惶惶的,有的财务数据都已经丢失等等,其实消灭也很简单,具体往下看;

“incaseformat”蠕虫病毒删除文件?不要慌,X讯iOA、御点、管家都能杀,文件也能恢复 有网友反应遭遇“incaseformat”病毒攻击,硬盘除 盘外,其他分区文件被删除,仅保留 一个名为“incaseformat.log”的 字节文件。X讯安全专家分析后发现,这是一个很古老的 蠕虫病毒。X讯 iOA、X讯御点、X讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文 件恢复的概率也较高。

该病毒在非 Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自 启动,拷贝自身到 windows目录下(C:\Windows\tsay.exeC:\Windows\ttry.exe),同时设 置注册表 runonce的 msfsa 项。

当病毒在 windows 目录下(C:\Windows\tsay.exeC:\Windows\ttry.exe)运行时,会修改注 册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目 录留下名为 incaseformat.log的空文件。

X讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病 毒发作文件被删除。 由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在 2021 年 月 13日触发删除文件等操作(下一次发作是 月 23 。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。 X讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单, 可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文 件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大SSD硬盘以及M2硬盘例外,因存储机 制不同,删除后难以恢复。)

IOCs MD5(部分同源样本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8d
223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
5a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335

安全提醒:

1、若未被感染也需要进行全盘查杀确保安全!因为病毒还会在1月23日重新发起删除操作!!!

2、若已经被感染,切勿重启!切勿重启!切勿重启!请在清除信任区,全盘查杀后,在不关机重启的情况下使用数据恢复软件恢复数据,或联系专业的数据恢复服务人员操作;

3、此后若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任!!

软件:
【查杀软件】火绒安全软件5.0离线完整版+数据恢复软件 EaseUSDataRecoveryWizard

链接:https://pan.baidu.com/s/1m-wRJm4tJctFlVnVr3zHbQ    提取码:v9ho

===以下为火绒安全论坛原帖===
今日,火绒工程师接到大量用户求助,称电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心,火绒安全软件(个人版、企业版)无需升级即可对该病毒进行拦截并查杀。
 
       火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。
 
 
       不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。我们建议广大用户及时使用火绒安全软件全盘扫描(清空信任区)进行排查。对于未安装火绒已经中毒的用户,建议清空信任区后进行全盘扫描查杀。
 
       事实上,该蠕虫病毒早在2014年就已经被火绒入库。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。


2014年火绒对该样本的收录和检测

 

判断系统时间执行全盘文件删除相关代码
 
病毒所使用的有问题的 DateTimeToTimeStamp 相关代码
 
病毒传播相关代码
 
       蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任。
 
附录:
写在最后:
现在不要以为SSD,M2硬盘速度快,就想用快的,保存数据,还得是机械硬盘,有重要数据的,要么备份云盘,要么就直接机械硬盘,切记不可使用SSD或者M2硬盘;

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!(有事儿请详询博主:博主电话以及微信18810292089)

更多请关注:老梁`s Blog

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。 您必须遵守我们的协议,如果您下载了该资源行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
Laoliang.Net资源全部来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net
老梁`s Blog(老梁博客) » 安全提醒:火绒完整版+数据恢复软件应对2021年1月13日incaseformat蠕虫病毒

发表评论

本站承接,网站推广(SEM,SEO),软件的安装的安装与调试,服务器的推荐以及配置,APP的开发与维护,网络或者web维护;财务软件,客户管理系统,人力资源,超市POS,医药管理,服务器安全,ecshop,金蝶,用友,管家婆;

立即查看 了解详情